首页
社区
课程
招聘
[原创]一款最简单的关于动态注册的APP分析
发表于: 2020-5-12 23:06 11946

[原创]一款最简单的关于动态注册的APP分析

2020-5-12 23:06
11946

题目来自 看雪2w班4月第2题

本来以为凉凉了,但是最后竟然做出来了,惊奇

找出flag

拿到手,一看360加固,先脱壳,发现程序关键步骤native化了,

再打开so文件一看,动态注册
本来想着动态调试吧,可是还得先过360加固的反调试,算了还是静态分析吧
先看.init.array

可以看到一一进去查看函数伪代码,发现其实最关键的就是一个字符串动态解密的函数

发现都是一堆异或,没有什么难的算法
直接IDA脚本,一一解密,从解密后的字符串可以看到,这个so存在检测frida的反调试,以及其他不知名的字符串
再之后看.init函数

实际上最终调用的是创建新线程执行函数sub_E80,跟进去看看

大概就是检测frida是否注入进程,以及一些elf魔数的检查和是否存在oat文件的检查
如果检测不通过,则kill掉进程
接下来,看JNI_Onload函数

就是动态注册而已,我们直接修改源码,跟踪动态注册的函数check

可以观察到check函数地址为0xb39444c9,
再通过cat /proc/13291/maps | grep native-lib命令查看libnative-lib.so的加载基地址为0xb3943000,这里的13291为进程pid

从而确认check的函数偏移为0x14c9,找到对应函数

可以发现这个函数做了4件事

检测输入string长度是否为20

再次动态注册check函数到,新的native函数偏移为0x1234

检测输入的string是否以kanxue开头

调用新的check函数,即sub_1234函数,并传递输入字符串的第六位之后的字符串为参数
再次跟进sub_1234函数

可以看到同上个函数一样,这个函数也做了四件事

检测输入string长度是否为14

再次动态注册check函数到,新的native函数偏移为0x1148

检测输入的string是否以training开头

调用新的check函数,即sub_1148函数,并传递输入字符串的第8位之后的字符串为参数

最后再次跟进sub_1148函数

这个函数只是检测了最后的字符串长度是否为6,并且将之与字符串course对比

最终,拿到flag为kanxuetrainingcourse.
验证。


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 4
支持
分享
最新回复 (13)
雪    币: 529
活跃值: (1005)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
感谢大佬分享,很好的学习案例,能放下apk下载链接吗,十分感谢
2020-5-13 11:01
0
雪    币: 2270
活跃值: (5537)
能力值: ( LV8,RANK:146 )
在线值:
发帖
回帖
粉丝
3
_air 感谢大佬分享,很好的学习案例,能放下apk下载链接吗,十分感谢

好的

上传的附件:
2020-5-14 09:55
0
雪    币: 1143
活跃值: (2360)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
我们直接修改源码,跟踪动态注册的函数check。能具体说一下是怎么找函数入口吗
2020-5-15 10:20
0
雪    币: 2270
活跃值: (5537)
能力值: ( LV8,RANK:146 )
在线值:
发帖
回帖
粉丝
5
yuhan梓 我们直接修改源码,跟踪动态注册的函数check。能具体说一下是怎么找函数入口吗
去跟踪RegisterNatives的函数实现,改源码,打log
2020-5-15 12:03
0
雪    币: 1084
活跃值: (340)
能力值: ( LV2,RANK:15 )
在线值:
发帖
回帖
粉丝
7
拆包的时候必须加上-r(忽略资源) 否则重打包报错 楼主打包的时候应该也是加上-r了吧? 必须要加-r才行?
2020-5-15 23:30
0
雪    币: 2270
活跃值: (5537)
能力值: ( LV8,RANK:146 )
在线值:
发帖
回帖
粉丝
8
东京不热 拆包的时候必须加上-r(忽略资源) 否则重打包报错 楼主打包的时候应该也是加上-r了吧? 必须要加-r才行?
没有重打包。。。
2020-5-16 09:26
0
雪    币: 210
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
9
求ida脚本,谢谢大佬
2020-6-1 06:35
0
雪    币: 3212
活跃值: (753)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
Java.perform(function() {
    var clazz = Java.use('com.kanxue.reflectiontest.MainActivity');
    clazz.check.overload("java.lang.Object").implementation = function(x) {

        //

        console.log(this.check(x))
        return true
    }
});
2020-7-29 16:15
0
雪    币: 1671
活跃值: (2188)
能力值: ( LV3,RANK:25 )
在线值:
发帖
回帖
粉丝
11
360的壳是用脱壳机还是直接frida砸壳,直接砸壳拖出来的dex不完整吧
2020-8-14 14:23
0
雪    币: 3165
活跃值: (5146)
能力值: ( LV3,RANK:25 )
在线值:
发帖
回帖
粉丝
12
想问一下楼主的IDA是怎么识别出来RegisterNatives等一系列函数的?
2020-8-18 02:28
0
雪    币:
活跃值: (412)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
想问问怎么主动给这个应用读写手机存储的权限啊?如果应用本身没有申请的话在设置里面也给不了读写权限吧。没有权限fart怎么脱壳呢?
2021-4-1 11:44
0
雪    币: 2270
活跃值: (5537)
能力值: ( LV8,RANK:146 )
在线值:
发帖
回帖
粉丝
14
wx_Simba 想问问怎么主动给这个应用读写手机存储的权限啊?如果应用本身没有申请的话在设置里面也给不了读写权限吧。没有权限fart怎么脱壳呢?
编译一个保存到私有目录的fart版本就行了
2021-4-1 12:43
0
游客
登录 | 注册 方可回帖
返回
//